Megosztás a következőn keresztül:

A Threat Intelligence Upload Indicators API (előzetes verzió) összekötője a Microsoft Sentinelhez

  • Cikk

A Microsoft Sentinel egy adatsík API-t kínál a fenyegetésintelligencia-platform (TIP) fenyegetésfelderítési felületéről, például a Threat Connectből, a Palo Alto Networks MineMeldből, a MISP-ből vagy más integrált alkalmazásokból. A fenyegetésjelzők ip-címeket, tartományokat, URL-címeket, fájlkivonatokat és e-mail-címeket tartalmazhatnak. További információt a Microsoft Sentinel dokumentációjában talál.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) ThreatIntelligenceIndicator
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Minden fenyegetésintelligencia API-mutató

ThreatIntelligenceIndicator 
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc

Szállító telepítési útmutatója

A fenyegetésintelligencia-adatforrásokat az alábbiakkal csatlakoztathatja a Microsoft Sentinelhez:

Integrált fenyegetésfelderítési platform (TIP) használata, például Threat Connect, Palo Alto Networks MineMeld, MISP és mások.

A Microsoft Sentinel adatsík API-jának meghívása közvetlenül egy másik alkalmazásból.

  • Megjegyzés: Az összekötő "Állapota" itt nem "Csatlakoztatottként" jelenik meg, mert az adatokat API-hívással betölti.

A fenyegetésfelderítéshez való csatlakozáshoz kövesse az alábbi lépéseket:

  1. A Microsoft Entra azonosító hozzáférési jogkivonatának lekérése

[concat('A kérés API-knak való elküldéséhez be kell szereznie az Azure Active Directory hozzáférési jogkivonatát.) A következő oldalon található utasításokat követheti: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • Megjegyzés: Kérjen AAD hozzáférési jogkivonatot a hatókör értékével: ", variables('management'), '.default')]
  1. Jelzők küldése a Sentinelnek

A mutatókat az Upload Indicators API meghívásával küldheti el. Az API-val kapcsolatos további információkért kattintson ide.

HTTP-metódus: POST

Végpont: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01

WorkspaceID: az a munkaterület, amelybe a jelzők fel vannak töltve.

1. fejlécérték: "Engedélyezés" = "Tulajdonos [Microsoft Entra ID hozzáférési jogkivonat az 1. lépésből]"

Fejléc értéke 2: "Content-Type" = "application/json"

Törzs: A törzs egy OLYAN JSON-objektum, amely STIX formátumú mutatótömböt tartalmaz.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.